在當今信息化時代,個人信息既不再是隱私權的客體,也不是人格權衍生出的財產權的組成部分,而成為國家、數據企業和個人共享的寶貴數據資源。因此,關於個人信息的立法不應再狹隘地局限於個人利益或私權保護,應側重規范信息資產合理開發中個人利益和社會公共利益的平衡,應更好地發揮個人信息在促進個人全面發展和推動社會進步中的公共產品作用。
單個主體的個人信息,經過信息技術、社會交往方式的型塑,已經成為一種團體或整體概念上的信息資產,應被當作共有財產或公共產品來對待。當然,其上附著的信息來源的個性化特征應當受到必要保護,例如,可以向數據企業或信息加工者課以相應的保密、忠實義務等。
在大數據時代,個人信息的利用觀念、方式和規模都發生了巨大變化。在此情況下,如何落實《民法總則》第111條所作“自然人的個人信息受法律保護”的規定?對個人信息作過於私有化理解的立法模式是否充分、完整、體系化地反映了個人信息在當代社會的應用場景變化,以及由此引致的個人利益和公共利益之間的關系重構呢?這些問題非常值得深入思考。
個人:從信息主體到信息客體
個人信息作為傳統法律上人格權的客體,一直處於靜態而穩定的法律關系之中。然而,近十年來,進入大數據時代以來,個人信息的法律保護制度在全球范圍內正經歷著一場重大變革。
這一變革的根本原因是:隨著社交時代的到來,數據量的激增、雲計算的普遍運用、物聯網雛形逐漸顯現等,數據資產在政治、經濟活動和社會結構中的核心地位愈發凸顯。在此情況下,雖然各國法律制度和法治實踐仍然強調,以隱私權或信息自決權強化對個人信息的私法保護,但是,個人信息保護革新措施的不斷涌現,使得這一特別法領域呈現出顯著的國際化、自律化、公法化的特征。
數據資產的界限已經突破了傳統意義上的國別概念,不能再根據屬地原則或屬人原則的單一特性來進行物權法意義上所有權的劃分,或進行單一權利主體的分割。網絡上的信息日夜不分地緊密結合在一起,並形成巨大的信息流。在此情形下,無法將某一主體所提出的原信息從信息束的整體中獨立拆分、收回(撤回)、取消或刪除。
信息不同於傳統意義上的物,它不具有像物權客體經使用而衰減或隨時間而窮竭的特點﹔相反,被后續信息迭代或者自身經過不同數據企業以各種方式挖掘之后,信息能展現出取之不盡、用之不竭的獨特性質。
既然如此,在考慮如何規制或保護個人信息時,當然不能超越信息的一般屬性來理解和把握相關的問題。考慮到物盡其用和公共福祉的最大化,並為發揮個人信息在促進社會經濟利益、維護社會公共秩序中的重要作用,應更多地從物權、債權角度綜合性理解個人信息的法律屬性及其流轉關系。同時,應在國際化、一體化的法律視野下討論個人信息的保護模式,而不應再過分地從隱私角度將個人信息局限為信息主體的個人生活安寧和對信息的絕對控制權。
與在傳統隱私權或人格權保護中個人居於主導地位不同,在大數據、雲計算與人工智能時代,單個主體作為大量信息流的一個末梢,其可識別性的符號化特征在以關聯關系為核心的大數據要求的全樣本分析中,已經成為模糊的信息加工客體。個人信息的運用與否不再取決於個人與他人或與社會整體的交往、交易、融入意願,而是一種在多數情況下無須進行選擇的生活方式、交往方式及交易模式,這體現了社會調整方式的全局性、整體化變革。
個人作為法律關系主體的特征在一定程度上的泯滅及科技時代對信息控制與利用方式的重大變化,與信息資產逐步成為人類共有財產的趨勢息息相關。以個人信息為基礎的信息集合或信息整體(大數據),以及由此衍生出的數據資產,已真正成為個人信息法律規制的核心。歐盟《一般數據保護條例》及美國《消費者隱私權法案》等相關立法,無不是順應這一歷史趨勢,側重於管理與規制數據企業的信息行為。同時,在此過程中,不斷強化對信息加工客體與原信息一致性(信息修改權)、信息保存期限過后的刪除或遺忘權等內容的規定。這些權利雖然在名義上屬於個人信息的原權利人,但實際上均需要數據企業的行為才得以實現。在全面數字化的信息時代,個體不再能夠對個人信息予以完全的控制,並享有對個人信息的全部利益,隱私保護與信息公開性的適度平衡,應據數據企業的行為正當性及社會公共利益的需要而定。
個人信息:兼具公共利益和私人利益屬性
個人信息不是純粹的私法權利客體,享有與使用它而產生的利益不能僅從私權保護的角度進行狹隘的思考。就個人信息的范圍而言,在個人提供的信息產生的信息產品與信息服務中,既有個人所創建的信息,又有他人參與創建或主要由他人創建的信息(如信用信息和信譽信息等),故而,已經不能完全從隱私權或人格權的私有化屬性方面進行邊界厘定。
個人讓渡一部分或全部的個人信息所有權和利用權,已經成為互聯網第三次浪潮中的常態。與此同時,機器抓取和各種算法的層出不窮,使得個人已經無法查知所提交信息的后續加工、分派、流轉過程,再無法從與之有關的范圍、程度和深度上感知信息產品的最終結果,在此情形下,更無法想象、顧及牽涉其中的第三方法律主體的相關行為。此時,如果沿用傳統人格權法上對於人格利益的絕對控制權理論,或者是財產權法上的所有權或使用權的法律模式,來分析個人信息的權利構成,那麼將極大地阻礙個人對信息的分享和利用,以及數據企業對信息的收集和加工,更無法使各方充分獲取“信息石油”這種公共資源在不斷的開採與利用過程中產生的信息紅利。
個人與數據企業以及社會之間圍繞信息的提供、使用、挖掘、變現、跨境流動所形成的法律關系,需要以整體化的思路和技術化的視角來進行系統化分析。予以分析的前提是,必須以個人信息效用的充分發揮、社會秩序的合理維護、社會整體信息附加值之上的公共利益最大化、網絡安全或國家安全等作為出發點,而不再拘泥於對某一個主體私人權利和私人生活安寧的保護,或者不再將后者作為信息法律關系構建的核心和關鍵。
個人信息:從個人所有權到共同所有權
這個權利的讓渡並不違背私人自治的民法基本理念,相反,它是在這個以信息為基礎的社會中,個人伴隨著科技進步與社會發展,基於自我利益最大化,不得不做出的調適與妥協。一旦跳出傳統民法的個人權利歸屬的窠臼來思考個人信息的法律屬性,對個人信息管理與保護的法律規范的二重屬性的難題便迎刃而解了。
在大數據時代,單一性個人信息的價值越來越不明顯。個人信息對經濟和社會發展的微觀效應,迅速讓位於大數據時代全部樣本的信息挖掘產生的分析價值和預測效用。個人信息保護方式必須向此種經濟和科技運行模式妥協,由此構建新型的個人信息公開化和可利用化的法律規范。
在信息的處理過程中,個人信息的歸屬及授權使用隻具有象征性的形式意義,它更多地體現為,與信息主體密切接觸的數據企業對信息的保密義務,以及忠實於信息目的或場景的附隨義務或憲法義務。數據企業對個人信息的運用不能超越信息主體自身利益及授權使用時雙方對信賴利益設想的閥值,對信息予以匿名化處理、對個人信息的修改、解釋及必要的刪除義務,是個人信息控制權規制模式變革后產生的替代性的主給付義務。
從個人在信息產業和數字化社會中心地位的喪失時起,個人便在信息資產的生產、增殖、流通過程及相關法律行為的規范中退居次要地位。換言之,個人從信息控制和處理的主體,淪為信息挖掘和消費的客體。由此,個人信息經過數據企業的批量或整體性加工,變成符合一定目的的數據資產。在一定程度上,這種數據資產可視為整個信息社會中經營高效率運轉的企業的行為基礎,它也可為其他企業或國家所利用,作為深度把握社會財富流動、維護社會秩序、節約社會資源、預測及避免重大系統性風險的公共數據。
一些國家或地區的最新立法已逐步放棄個體對個人信息的絕對控制權理論,使個人信息權從絕對性的私法性權利或基本人權,向具有公共產品屬性的公共信息財產轉化。在這個問題上,雖然美國和歐盟的具體立法模式和法律理念還存在顯著差異,但是,數據企業、國家機關等在處理個人信息上皆具有了較多的被默認的例外性處理權利。
綜上,完全可以認為,單個主體的個人信息,經過信息技術、社會交往方式的型塑,已經成為一種團體或整體概念上的信息資產,應被當作共有財產或公共產品來對待。當然,其上附著的信息來源的個性化特征應當受到必要保護,例如,可以向數據企業或信息加工者課以相應的保密、忠實義務等。
個人信息保護規范:管理與保護並重
在現有法律體系框架下,個人信息權利的行使並不能僅由信息權利人自己完成,而是主要借助數據企業、國家等信息持有和管理人的行為而實現。將個人信息作為一種私法上的絕對權,無論如何不能契合權利的支配性、對世性、排他性等特性。個人信息也與隱私權的消極品格不能兼容,因為隱私權通常隻有在受到侵害時才顯示出消極的防御權能和基本人權的利益價值,而個人信息則以積極行使、多樣化利用為主要目的,處在與數據企業、社會的交往和使用之中,並非封閉的、獨立的主觀存在。
我國許多現行的個人信息法律規范,均呈現出法律義務創設及法律責任前置的特征,旨在對可能出現的侵犯個人信息的行為進行提前預防,對個人信息的各種利用主體的行為創設基本的行為規范,包括對國家機關的信息行為進行規制,其強制性規范和管理性規范的屬性極為明顯和強烈,這與民事規范的私法自治特性極不相稱。個人信息相關的法律規范,在世界范圍內多因信息技術的發展,消費者與數據企業關系的變化,而由特別法實時進行調整與更新。在這個大的社會發展趨勢之下,靜態的、以個人隱私的絕對保護為中心的傳統個人信息保護模式,已經很難適用。
個人在信息社會仍有充分的選擇權和決定權,在處理具體信息時,能夠決定公開個人信息的范圍、程度和時間節點。然而,作為一種總括性的法律客體,個人信息不能再作為私法上的獨立權利而存在,顯然具有更多的公法色彩。個人信息權的產生、行使、管理與保護,皆仰賴國家法律關於個人和數據企業、國家之間的信息資產使用方式及利益分配政策的規定,而不能再由個人任意決定。
個人在信息提供、分享、交互、加工、分析等各個環節中,隻能具有有限的知情權和修改權,而失去了對全部信息產生、變化和反饋過程的終極控制權。在數字化社會,要想獲得信息技術和網絡帶來的各種便利,就必須按照企業的要求提供各種信息,同意企業在信息收集、加工和利用上提出的各種格式條款,個人在此情形下的選擇隻能是全有或全無。
總而言之,在當今信息化時代,個人信息既不再是隱私權的客體,也不是人格權衍生出的財產權的組成部分,而成為國家、數據企業和個人共享的寶貴數據資源。因此,關於個人信息的立法不應再狹隘地局限於個人利益或私權保護,應側重規范信息資產合理開發中個人利益和社會公共利益的平衡,應更好地發揮個人信息在促進個人全面發展和推動社會進步中的公共產品作用。這是大勢所趨,也是我國法律適應大數據時代發展需求的必然選擇。
